Çinli Siber Saldırganların 10 Yıllık İzolasyonlu Ağ Casusluğu: Kimlik Doğrulama Akışının Ele Geçirilmesi

Giriş

2023 yılında yayınlanan bir araştırma raporuna göre, Çin kökenli siber saldırganlar, izole edilmiş bir kurumsal ağa 10 yıl boyunca gizlice sızdı. Saldırganlar, hedef organizasyonun kimlik doğrulama (authentication) akışını ele geçirerek, yönetici faaliyetlerini tamamen izleyebildi ve sistemde kalıcı erişim sağladı. Bu saldırı, siber güvenlik tarihindeki en uzun süreli gizli faaliyetlerden biri olarak kayıtlara geçti. Bu makalede, saldırının teknik detayları, kullanılan yöntemler ve benzer tehditlere karşı alınabilecek önlemler adım adım açıklanacaktır.

Saldırının Arka Planı ve Hedefler

Saldırganlar, genellikle devlet destekli tehdit aktörleri olarak sınıflandırılan Çin kökenli APT (Advanced Persistent Threat) gruplarından biriydi. Hedef organizasyon, yüksek güvenlik standartlarına sahip izole edilmiş bir ağa sahipti, bu da saldırının karmaşıklığını artırıyordu. İzole ağlar, genellikle askeri, enerji veya finans sektöründeki kurumlar tarafından kullanılır ve dış dünyaya kapalıdır. Bu tür ağlarda, saldırganların uzun süre gizli kalması ve veri sızdırması oldukça zordur.

Ancak, saldırganlar aşağıdaki hedeflere ulaşmayı başardı:

• Kimlik doğrulama sisteminin (örneğin, Active Directory, LDAP, ya da özel kimlik doğrulama sunucuları) kontrolünü ele geçirmek.
• Yönetici hesaplarının kimlik bilgilerini çalmak ve bu hesapları kullanarak sistemde kalıcı erişim sağlamak.
• Yönetici faaliyetlerini gizlice izlemek ve hassas verileri dışarı sızdırmak.
• Sistemdeki diğer zayıflıkları kullanarak ağın diğer bölümlerine yayılmak.

Saldırı Yöntemi: Kimlik Doğrulama Akışının Ele Geçirilmesi

Saldırganlar, kimlik doğrulama akışını ele geçirmek için aşağıdaki adımları izledi. Bu süreç, Man-in-the-Middle (MitM) saldırıları, kimlik bilgisi hırsızlığı ve sızdırma teknikleri kombinasyonunu içeriyordu.

1. İlk Erişim ve Keşif

Saldırganlar, hedef organizasyona ilk olarak aşağıdaki yöntemlerden biriyle girdi:

• Phishing saldırıları: Çalışanlara yönelik sahte e-postalar veya mesajlar göndererek kimlik bilgilerini çalmak.
• Sıfır gün açıkları: Bilinmeyen ve yaması yapılmamış yazılım zayıflıklarını kullanmak.
• Üçüncü taraf tedarik zinciri saldırıları: Hedef organizasyonun kullandığı bir üçüncü taraf yazılım veya hizmetin güvenliğini ihlal etmek.

Başarılı bir ilk erişimden sonra, saldırganlar ağ içinde hareket etmeye başladı. İzole ağlarda, bu genellikle lateral movement (yanal hareket) adı verilen bir süreçtir. Saldırganlar, ağın diğer bölümlerine geçmek için aşağıdaki teknikleri kullandı:

• Pass-the-Hash (PtH): Elde edilen kimlik bilgilerini kullanarak, sistemler arasında geçiş yapmak.
• Golden Ticket saldırıları: Active Directory ortamlarında, saldırganların tüm ağa erişim sağlamasına izin veren sahte biletler oluşturmak.
• Kerberoasting: Active Directory ortamlarında, hizmet hesaplarının kimlik bilgilerini çalmak.

2. Kimlik Doğrulama Akışının Ele Geçirilmesi

Saldırganların ana hedefi, kimlik doğrulama akışını ele geçirmekti. Bu, aşağıdaki adımlarla gerçekleştirildi:

1. Kimlik Doğrulama Sunucusunun Ele Geçirilmesi:
   • Saldırganlar, hedef organizasyonun kimlik doğrulama sunucusuna (örneğin, Active Directory Domain Controller) erişim sağladı.
   • Bu sunucuya sızdırma araçları (backdoor) yerleştirdi. Örneğin, Mimikatz gibi araçlar kullanarak yerel yönetici hesaplarının kimlik bilgilerini çalabilirlerdi.
2. Kimlik Doğrulama Akışının Değiştirilmesi:
   • Saldırganlar, kimlik doğrulama akışını değiştirerek, kullanıcıların giriş yaptığı her seferde, saldırganların da bu kimlik bilgilerini almasını sağladı.
   • Bu genellikle LDAP Man-in-the-Middle (MitM) saldırıları veya proxy tabanlı saldırılar kullanılarak gerçekleştirildi.
3. Kalıcı Erişim Sağlama:
   • Saldırganlar, kimlik doğrulama akışını değiştirdikten sonra, sistemde kalıcı erişim sağlamak için aşağıdaki yöntemleri kullandı:
     • Shadow Credentials: Active Directory ortamlarında, saldırganların hesaplara gizlice erişmesini sağlayan yöntemler.
     • SID History Enjeksiyonu: Kullanıcı hesaplarına, saldırganların hesaplarına erişim yetkisi vermek için SID (Security Identifier) enjekte etmek.
     • Golden Ticket oluşturma: Active Directory ortamlarında, saldırganların tüm ağa erişim sağlamasına izin veren sahte biletler oluşturmak.

3. Yönetici Faaliyetlerinin İzlenmesi

Kimlik doğrulama akışını ele geçirdikten sonra, saldırganlar aşağıdaki faaliyetleri gerçekleştirdi:

• Tüm yönetici girişlerini kaydetmek: Kullanıcıların giriş yaptıkları her seferde, saldırganlar bu girişleri kaydetti ve analiz etti.
• Hassas verilerin sızdırılması: Yöneticilerin eriştiği hassas verileri, saldırganların kontrolündeki sunuculara sızdırdı.
• Diğer sistemlere yayılma: Elde edilen kimlik bilgilerini kullanarak, ağın diğer bölümlerine yayıldı ve yeni hedefler belirledi.

Saldırıda Kullanılan Anahtar Araçlar ve Komutlar

Aşağıda, saldırganlar tarafından kullanılan anahtar araçlar ve komutlar listelenmiştir. Bu araçlar, siber güvenlik uzmanlarının saldırıyı tespit etmek ve müdahale etmek için kullanabileceği tekniklerin anlaşılmasına yardımcı olacaktır.

Araçlar

• Mimikatz: Windows sistemlerinde yerel yönetici hesaplarının kimlik bilgilerini çalmak için kullanılan bir araçtır. Aşağıdaki komutlar, Mimikatz kullanılarak kimlik bilgilerinin nasıl çalınabileceğini göstermektedir:

mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

• BloodHound: Active Directory ortamlarındaki saldırı yollarını haritalamak için kullanılan bir araçtır. Aşağıdaki komut, BloodHound'un nasıl kullanılabileceğini göstermektedir:

SharpHound.exe -c All -d example.com

• Rubeus: Active Directory ortamlarında, kimlik bilgilerini çalmak ve saldırı yollarını oluşturmak için kullanılan bir araçtır. Aşağıdaki komut, Rubeus kullanılarak bir Golden Ticket oluşturmanın nasıl yapılabileceğini göstermektedir:

Rubeus.exe golden /rc4:HASH /domain:example.com /sid:S-1-5-21-123456789-1234567890-123456789 /user:Administrator

Saldırı Tespit ve Müdahale Komutları

Siber güvenlik uzmanları, saldırıyı tespit etmek ve müdahale etmek için aşağıdaki komutları kullanabilir:

# Güvenlik olaylarını kontrol etmek
wevtutil qe Security /f:text /c:50

# Aktif bağlantılarını listelemek
netstat -ano

# Güvenlik duvarı kurallarını kontrol etmek
netsh advfirewall firewall show rule name=all

# Sistemdeki şüpheli kullanıcı hesaplarını listelemek
net user /domain

Saldırıdan Korunma ve Müdahale Adımları

Bu saldırıdan korunmak ve benzer tehditlere karşı hazırlıklı olmak için aşağıdaki adımlar izlenmelidir. Bu adımlar, hem teknik hem de organizasyonel önlemleri içermektedir.

1. Kimlik Doğrulama Sisteminin Güçlendirilmesi

1. Çok Faktörlü Kimlik Doğrulama (MFA):
   • Kimlik doğrulama akışına ek bir güvenlik katmanı eklemek için MFA kullanın. Bu, saldırganların çalınan kimlik bilgilerini kullanmasını engelleyebilir.
2. Kimlik Doğrulama Sunucularının İzolasyonu:
   • Kimlik doğrulama sunucularını (örneğin, Active Directory Domain Controller) izole edin ve yalnızca gerekli sistemlere erişim verin.
3. Kimlik Doğrulama Akışının İzlenmesi:
   • Kimlik doğrulama akışını sürekli olarak izleyin ve şüpheli faaliyetleri tespit edin. Örneğin, bir kullanıcının aynı anda farklı konumlardan giriş yapması gibi.

2. Ağ Güvenliğinin Sağlanması

1. Segmentasyon ve Mikro Segmentasyon:
   • Ağı, farklı güvenlik seviyelerine sahip segmentlere ayırın. Bu, saldırganların ağ içinde hareket etmesini zorlaştırır.
2. Sıfır Güven Modeli (Zero Trust):
   • "Hiçbir şey güvenilir değildir" prensibini uygulayın. Tüm erişim taleplerini doğrulayın ve sürekli olarak izleyin.
3. Güvenlik Duvarı ve IDS/IPS Kurulumu:
   • Güvenlik duvarları ve IDS/IPS (Intrusion Detection/Prevention Systems) sistemleri kullanarak ağ trafiğini izleyin ve şüpheli faaliyetleri engelleyin.

3. Sürekli İzleme ve Olay Müdahalesi

1. SIEM Sistemleri Kullanımı:
   • SIEM (Security Information and Event Management) sistemleri kullanarak ağdaki tüm olayları toplu olarak izleyin ve analiz edin.
2. Düzenli Güvenlik Denetimleri:
   • Sistemleri düzenli olarak denetleyin ve zayıflıkları tespit edin. Örneğin, BloodHound gibi araçlar kullanarak Active Directory ortamındaki saldırı yollarını haritalayın.
3. Olay Müdahale Planı Oluşturma:
   • Bir saldırı durumunda uygulanacak olay müdahale planını önceden oluşturun. Bu plan, saldırının tespitinden müdahaleye kadar tüm adımları içermelidir.

Önemli İpuçları ve Uyarılar

Uyarı: İzole edilmiş ağlar bile saldırganlara karşı tamamen güvenli değildir. Saldırganlar, üçüncü taraf tedarik zinciri saldırıları veya yerel zayıflıklar kullanarak bu ağlara sızdırabilir. Bu nedenle, tüm ağlarda sürekli izleme ve güvenlik testleri yapılmalıdır.

İpucu: Kimlik doğrulama akışını ele geçirmek, saldırganların sistemde uzun süre gizli kalmasını sağlar. Bu nedenle, kimlik doğrulama sistemlerinin sürekli olarak izlenmesi ve güncellenmesi kritiktir. Ayrıca, kullanıcıların kimlik bilgilerini düzenli olarak değiştirmeleri ve güçlü parolalar kullanmaları önemlidir.

En İyi Uygulama: Sıfır güven modeli, modern siber güvenlik stratejilerinin temelini oluşturur. Bu modeli uygulayarak, saldırganların ağ içinde hareket etmesini ve kalıcı erişim sağlamasını zorlaştırabilirsiniz.

Sonuç

Çinli siber saldırganların 10 yıl boyunca izole edilmiş bir ağda gizlice faaliyet göstermesi, siber güvenlik dünyasında bir uyarı niteliği taşımaktadır. Bu saldırı, kimlik doğrulama akışının ele geçirilmesi ve uzun süreli kalıcı erişim sağlanması gibi tekniklerin ne kadar tehlikeli olabileceğini göstermektedir. Kurumlar, bu tür saldırılara karşı korunmak için aşağıdaki adımları izlemelidir:

• Kimlik doğrulama sistemlerini güçlendirmek ve sürekli izlemek.
• Ağları segmentlere ayırmak ve mikro segmentasyon uygulamak.
• Sıfır güven modelini benimsemek ve sürekli olarak güvenlik testleri yapmak.
• Olay müdahale planlarını önceden oluşturmak ve düzenli olarak test etmek.

Bu makalede sunulan teknikler ve öneriler, benzer saldırılara karşı korunmanıza yardımcı olacaktır. Unutmayın, siber güvenlik sürekli bir çaba gerektirir ve hiçbir sistem tamamen güvenli değildir.